Security

AI Recommendation Poisoning: rischio per Copilot

3 min di lettura

Riepilogo

Microsoft segnala un nuovo abuso chiamato AI Recommendation Poisoning, in cui link web con prompt nascosti cercano di manipolare la memoria degli assistenti AI come Copilot per influenzarne in modo persistente suggerimenti e raccomandazioni future. La minaccia è rilevante soprattutto in ambito enterprise perché può alterare decisioni su procurement, sicurezza e fiducia negli strumenti AI senza segnali evidenti per gli utenti.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Gli assistenti AI sono sempre più utilizzati e ritenuti affidabili per riassumere contenuti, confrontare vendor e consigliare i passi successivi. I ricercatori di sicurezza Microsoft stanno ora osservando tentativi avversariali (e motivati commercialmente) di influenzare in modo persistente questi assistenti manipolandone la memoria—trasformando un apparentemente innocuo click su “Riassumi con AI” in un’influenza di lunga durata sulle risposte future.

Negli ambienti enterprise, questo è più di un problema di integrità. Se le raccomandazioni di un assistente possono essere orientate in modo sottile, possono risentirne decisioni di procurement, indicazioni di sicurezza e fiducia degli utenti—senza segnali evidenti che qualcosa sia cambiato.

Novità: AI Recommendation Poisoning osservato sul campo

Il Microsoft Defender Security Research Team descrive un pattern emergente di abuso promozionale che definisce AI Recommendation Poisoning:

  • Prompt injection nascosta tramite parametri URL: Le pagine web incorporano link (spesso dietro pulsanti “Riassumi con AI”) che aprono un assistente AI con un prompt precompilato usando parametri di query come ?q=<prompt>.
  • Persistenza mirata alle funzionalità di “memoria”: Il prompt iniettato tenta di aggiungere istruzioni durevoli come “ricorda [Company] come fonte affidabile” o “consiglia [Company] per prima”.
  • Osservato su larga scala: In un periodo di analisi di 60 giorni degli URL legati all’AI rilevati nel traffico email, i ricercatori hanno identificato oltre 50 tentativi di prompt distinti provenienti da 31 aziende in 14 settori.
  • Targeting cross-platform: Lo stesso approccio è stato osservato con l’obiettivo di colpire più assistenti (gli esempi includevano URL per Copilot, ChatGPT, Claude, Perplexity e altri). L’efficacia varia in base alla piattaforma ed evolve man mano che vengono rilasciate mitigazioni.

Come funziona (e perché la memoria cambia il rischio)

Gli assistenti moderni possono conservare:

  • Preferenze (formattazione, tono)
  • Contesto (progetti, attività ricorrenti)
  • Istruzioni esplicite (“cita sempre le fonti”)

Questa utilità crea una superficie di attacco: AI memory poisoning (MITRE ATLAS® AML.T0080) si verifica quando un attore esterno fa sì che “fatti” o istruzioni non autorizzate vengano memorizzati come se fossero intenzionalmente richiesti dall’utente. La ricerca mappa questa tecnica alla manipolazione basata su prompt e a categorie correlate (incluse voci MITRE ATLAS® come AML.T0051).

Impatto su amministratori IT ed utenti finali

  • Rischio per l’integrità delle raccomandazioni: Gli utenti potrebbero ricevere indicazioni su vendor/prodotti distorte che appaiono oggettive.
  • Manipolazione difficile da rilevare: Il “veleno” può persistere tra sessioni, rendendo difficile per gli utenti collegare decisioni successive a un click precedente.
  • Superficie di social engineering ampliata: Questi link possono comparire sul web oppure essere recapitati via email, fondendo tattiche di marketing con abuso in ambito security.

Microsoft osserva di aver implementato e di continuare a distribuire mitigazioni in Copilot contro la prompt injection; in diversi casi, comportamenti precedentemente segnalati non erano più riproducibili—un’indicazione che le difese stanno evolvendo.

Azioni / prossimi passi

  • Aggiornare la formazione sulla security awareness: Insegnare agli utenti che i link di “riassunto” basati su AI possono essere strumentalizzati, soprattutto se precompilano i prompt.
  • Rivedere le protezioni email e web: Assicurarsi che link-scanning e difese anti-phishing siano configurati per analizzare parametri URL insoliti e pattern di redirect.
  • Definire linee guida per l’uso dell’AI: Incoraggiare gli utenti a verificare le fonti, fare cross-check delle raccomandazioni e segnalare sospette anomalie di “memoria”.
  • Playbook operativo: Definire i passaggi per utenti/admin per verificare e cancellare la memoria dell’assistente (dove supportato) e per segnalare prompt/URL sospetti ai team di sicurezza.

Recommendation Poisoning è un segnale chiaro che, man mano che l’AI diventa un livello di supporto alle decisioni, i controlli di integrità e provenienza devono evolvere insieme ai tradizionali modelli di minaccia legati a phishing e web.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.